Communications diplomatiques, plans militaires, documents financiers, carnets d’adresses de médias : les Desert Falcons auraient déjà dérobé plus d’un million de fichiers à environ 3000 victimes dans une cinquantaine de pays dont la France.
Les équipes de Kaspersky ont fait la lumière sur ce groupe de cyber-mercenaires de langue arabe qui compterait une trentaine de membres répartis en trois équipes (Palestine, Égypte et Turquie). L’éditeur assure connaître l’identité de certains de ces pirates spécialisés dans les attaques persistantes avancées (APT) et dont les premières traces sur le réseau Internet remonteraient à 2011.
En cours depuis au moins deux ans, la campagne des Desert Falcons a connu un pic d’activité en ce début d’année. Elle cible principalement le Moyen-Orient, avec Israël et la Jordanie en tête de liste. Moins de 50 organisations auraient été touchées en France.
Les agences de défense et les administrations (notamment celles responsables de la lutte anti-blanchiment) ne sont pas les seules dans le collimateur de ces mercenaires du numérique. La santé, les médias, la recherche, l’enseignement, les banques et les réseaux d’énergie le sont aussi, au même titre que les responsables politiques et les militants.
Dans le cadre de leurs opérations, les Desert Falcons utilisent leurs propres logiciels malveillants. En l’occurrence, un cheval de Troie et une porte dérobée (backdoor) baptisée DHS. Leur vecteur d’infection est classique, puisqu’il s’agit du phishing : les utilisateurs visés reçoivent des e-mails d’apparence légitime qui les incitent à ouvrir des documents corrompus ou à cliquer sur des liens déclenchant le téléchargement d’un fichier infecté.
Parmi les techniques employées pour déjouer la vigilance des utilisateurs, on peut noter l’inversion de suffixe : un nom de fichier pouvant signaler une extension malveillante est modifié pour ne pas éveiller les soupçons. Comme on peut le constater dans le schéma ci-dessous et en page 12 du rapport de Kaspersky (document PDF), fdp.scr devient rcs.pdf.
Le trojan développé par les Desert Falcons peut réaliser des captures d’écran, enregistrer la frappe clavier, aspirer des fichiers, collecter des informations dans des documents Word et Excel (y compris sur des périphériques de stockage amovibles), enregistrer des données audio et voler des mots de passe dans la base de registre Windows.
Comme le note Silicon.fr, Kaspersky a aussi détecté l’activité d’un malware « qui semble être une backdoor Android capable de pirater le journal des appels et des SMS sur un mobile ».
Crédit photo : Mariia Savoskula – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…